top of page

INTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALES


Cuando la operación de nuestro negocio depende de cómo gestionamos la tecnología

Por definición, riesgo operacional es la suma de fallas o errores en los procesos, de las personas que los ejecutan o de las tecnologías que los soportan, las que pueden presentarse tanto desde un entorno externo como interno y estar ocasionadas por actividades intencionales, procedimientos inadecuados o defectuosos o por agentes contingentes como desastres naturales.

Entre estos escenarios pueden presentarse tanto amenazas, como un potencial de riesgo, como vulnerabilidades, que son brechas que quedan como puertas abiertas esperando a ser explotadas en forma programada o fortuita. Lo que sí tienen en común es un escudo metodológico para mitigar los riesgos a la operación: LA GESTIÓN. Entonces, evitar pérdidas financieras e incumplimiento legal requiere establecer un entorno metodológico en nuestra operación, mediante la gestión relacionada con la seguridad física y lógica, normativa interna para alinear las TI con el cumplimiento, proyectos de TI, usuarios de la organización, y amenazas externas.

En la búsqueda de cómo resolver nuestra problemática sobre los riesgos operativos, podemos ver que existe una relación lógica entre la definición del alcance del riesgo operacional y los factores de producción determinados para el gobierno de la información (Procesos – tecnologías – personas), afirmando la necesidad de establecer procesos adecuados para el cumplimiento de los objetivos de negocio, operados por personal con las capacidades y conocimientos necesarios y acorde a sus funciones dentro de los servicios y el soporte de recursos tecnológicos e infraestructura de servicios a la medida de las necesidades del negocio.

Por ello, es natural el empleo de estándares relacionados con el Gobierno de TI y Gobierno Corporativo (como las Normas ISO 20.000 y 27001, ITIL, COBIT5, Normas NIST, etc.) para normalizar nuestros procesos y ayudar a ordenar todas las actividades asociadas a la Continuidad Operativa, así como a la Integridad y Disponibilidad de la información.

Minimizar el riesgo operativo requiere de un conocimiento “relacionalista” de la Organización. Pensar que los procesos internos y los servicios de TI están disociados entre sí o que no hay nada más allá de la Organización que pueda afectarla, es acotarse a una sola dimensión de riesgos y perder la visión global y multidisciplinaria que se requiere para la subsistencia de la operación de nuestro negocio. Las necesidades de Gobierno deben surgir a nivel Corporativo, desde todas las áreas de la Organización, y apoyarse piramidalmente teniendo en cuenta que no se pueden establecer directrices que no se sustenten inicialmente en procesos y procedimientos que vayan enmarcándola hacia un camino de madurez que le permita establecer un Gobierno adecuado a su entorno, a su industria y principalmente a su cultura. Este entendimiento nos brindará la objetividad necesaria para la adopción de los estándares adecuados.

¿Cómo determino objetivamente cual es el marco metodológico adecuado? Inicialmente debo conocer “el negocio”, a través de las definiciones de sus procesos y de su marco legal y regulatorio. Esto nos aporta el hecho de conocer cuáles son los límites del entorno de su industria y define los primeros parámetros de alto nivel o necesidades primarias de cumplimiento. Como sabemos, las leyes o regulaciones nos dicen lo que se debe cumplir pero no como implementar el cumplimiento, por lo que es muy importante basarnos en nuestro conocimiento inicial para verificar internamente en la organización cuál es su “adherencia” al cumplimiento y la cultura de las personas en su participación en los procesos. Esto nos ayudará a la elección del estándar adecuado para nuestra Organización y determinará cual es la forma más correcta de abordar su implementación.

Una vez seleccionado el estándar e identificados los puntos de necesidad de cumplimiento, podremos definir los planes de implementación o remediación necesarios, que deben alcanzar tanto a procesos, como a personas y tecnología. El resultado final nos debe aportar lo que llamamos “línea base de cumplimiento”, con definiciones funcionales y técnicas que se verán representadas en nuestro marco normativo.

Como dijimos, debemos tener una visión global y multidisciplinaria, por lo que cada área de la organización va a participar en forma completa y desde sus funciones, tanto de actividades consultivas como operativas según corresponda, y de acuerdo a sus alcances funcionales relacionados con el Gobierno, Riesgo y Cumplimiento. Uno de los mejores ejemplos para visualizar esta interacción, es la de reconocer en un proyecto de negocio cuales son los diferentes hitos relacionados con la necesidad que tiene la Organización en el inter-relacionamiento de sus áreas para la obtención de sus objetivos.

Imaginemos que un área de negocio de nuestra organización está desarrollando un nuevo servicio, el cual requiere del uso de la tecnología. Como indicamos, ya contamos con una línea base de cumplimiento que abarca tanto a procesos funcionales como tecnológicos, y esta base de cumplimiento requiere que el análisis de los riesgos asociados a este proyecto sea realizado en conjunto entre el área de negocios y las áreas tecnológicas, con el soporte consultivo de áreas legales y de riesgo, porque este análisis no solo debe estar enfocado a los riesgos sobre las ganancias del negocio, sino también a las pérdidas económicas por la falta de previsión en la operación, continuidad y cumplimiento que requiera tanto el servicio de negocio como el servicio de TI.

Esto nos lleva a conformar un equipo de trabajo para cada proyecto dentro del cual podamos sumar el conocimiento y las experiencias de las personas en la construcción de este servicio de negocio apoyado en la tecnología, teniendo en cuenta que el representante del negocio debe liderar el proyecto (como dueño del proceso, de datos y riesgos que es) apoyado por las áreas de cumplimiento y legales, y contando con los servicios de soporte y operación de Tecnología y Seguridad de la Información.

Para comprender los alcances que debemos tener en cuenta al iniciar el diseño de proceso o servicio de TI y seguridad de la información para dar soporte a los procesos de negocio nuevos o existentes, desarrollé el siguiente mapa en donde identifiqué los diferentes componentes que construyen los recursos necesarios para la operación de la tecnología, y sobre los cuales deben identificarse aquellos riesgos asociados y objetivos que pueda tener nuestra Organización basados principalmente en los resultados de nuestra gestión de incidentes, gestión de riesgos y en el análisis del entorno geográfico, físico y operativo en el que se suceden los servicios de TI.

Esto abarca tanto aspectos técnicos como lo relacionado con los ambientes de aplicación e infraestructura como al gobierno y control sobre la tecnología, que son componentes clave a los cuales necesito ponerles una gestión adecuada a la cultura interna y madurez del negocio, y a su entorno e industria, para minimizar las probabilidades de impacto negativo a nuestra operación y proteger la información de la organización.

Pensando en riesgos operacionales, no podemos dejar de lado la participación de terceros en nuestros procesos de negocio o de servicios tecnológicos, ya que es habitual la subcontratación para potenciar nuestros procesos o servicios valiéndonos de la experiencia y conocimientos de un socio de negocio o un proveedor. Ahora bien, si no nos proponemos una adecuada gestión sobre nuestras terceras partes, aumentan mis riesgos en la contratación, por ejemplo, sobre los recursos humanos, legales por incumplimientos contractuales con nuestros clientes o relacionados con la tecnología en cuanto a sus vulnerabilidades y amenazas propias de cada plataforma.

La gestión y aplicación de la tecnología y las crisis externas a la organización, son los principales focos de amenazas que conforman los principales riesgos de TI, que asociados ponen en grave peligro a la operación si no los evaluamos en forma correcta identificando su mapeo relacional con los procesos de negocio y su entorno operativo. Basados en este análisis, podremos obtener para cada uno el plan de mitigación adecuado a la operación real, siendo así seguros y óptimos respecto de las necesidades operativas de la compañía.

Hay cuatro dominios en los cuales deben agruparse las principales actividades de mitigación de estos riesgos de TI:

  1. El gobierno de la tecnología, que debe ser compartido con nuestro proveedor de servicios

  2. La gestión de riesgos sobre los servicios, tanto internos como externos, y en el caso de terceros, reclamando y auditando a nuestro proveedor en su gestión implementada

  3. La educación y actualización para la mejora del conocimiento y capacidades, no solo relacionadas con la infraestructura técnica sino también en los procesos de servicio de TI, tanto de los contratados como de los internos, sobre los cuales el proveedor también debe capacitarse

  4. El cumplimiento, sobre la base de ser conscientes que puede delegarse la operación en un tercero, pero no puedo delegar la responsabilidad en el cumplimiento, por lo que debo establecer los controles y auditorías necesarias para verificar este cumplimiento por parte de nuestro proveedor

Esto determina que, tanto los riesgos asociados al proceso de negocios y a los servicios de TI como las necesidades de continuidad operativa de los mismos, debe ser pensada desde su diseño. Conocer el modelo de negocio y diseñar los servicios de TI entorno a sus necesidades basándonos en una gestión implementada como resultado de la adopción de estándares metodológicos, nos va a brindar la oportunidad de construir servicios de TI que estén alineados a los procesos de negocio, y por ende a los objetivos de la organización dando una respuesta efectiva a su plan de negocio.

Además de cumplir con las etapas lógicas y prestablecidas por cualquier normativa asociada a la gestión de proyectos, seguridad de la información o gestión de los servicios de TI, es recomendable que cada vez que decida iniciar un proyecto identifique una fase de capacitación para el entendimiento de la operación, integre el equipo de trabajo documentando e informándoles sobre sus alcances y roles dentro del proyecto, necesidades de cumplimiento legal y de negocio y, fundamentalmente, las necesidades de servicio por parte de las áreas tecnológicas (IT, redes, comunicaciones) y de seguridad (seguridad de la información, o bien seguridad física y seguridad informática).

En el inicio de este camino, lo que primero deberíamos de establecer es un conjunto de actividades tendientes a proteger y controlar los principales componentes de los servicios de TI al negocio. Este blindaje podremos obtenerlo mediante actividades iniciales asociadas a Terceras Partes, Seguridad Física, Seguridad de la Información, Controles sobre la operación de la tecnología, Proyectos de TI y Planes de respuesta para asegurar la continuidad ante incidentes. Respecto de los riesgos a identificar y su posterior gestión, si bien no hay una metodología única (ISO/IEC 27005, ISO/IEC 31000 y 31010), una de las más claras en su implementación y recomendable es MAGERIT, que a través de sus tres libros y sus métricas e indicadores, ofrecen una guía para una gestión prudentemente con medidas de seguridad que sustentan la confianza de los usuarios de los servicios.

A las cuatro etapas conocidas para la gestión de riesgos, recomiendo sumar una quinta asociada a la comunicación interna y externa sobre la metodología implementada, sus resultados, los mecanismos de mitigación definidos, y la asociación de la gestión de riesgos con la definición de los objetivos de control y los diferentes controles que deben ser implementados para satisfacer los requerimientos identificados a través de la evaluación de riesgos, así como la concientización sobre las amenazas de los riesgos identificados y la capacitación por área de interés (Dirección - Técnica - Gerencias - Usuarios) sobre los mecanismos de mitigación, sean estos funcionales o técnicos.

Para finalizar, y como conclusión, recordemos que las necesidades del negocio son cada vez más exigentes, y de igual forma las tecnologías son cada vez más complejas, por lo que brindar soluciones que aporten mayor velocidad de respuesta a la Organización tiene sus “costos” asociados... y sus riesgos.

El Negocio necesita de la Tecnología, pero la Tecnología sin Gestión es un riesgo directo a la Operación del Negocio… y a sus Objetivos.


Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB
Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page